Was ist HTTPS?
HTTPS (Hypertext Transfer Protocol Secure) ist ein internet-Kommunikationsprotokoll, das schützt die Integrität und Vertraulichkeit von Daten zwischen dem Rechner des Benutzers und der Website. Benutzer erwarten ein sicheres und privates Online-Erlebnis bei der Nutzung einer Website. Wir empfehlen Ihnen, HTTPS zu verwenden, um die Verbindungen Ihrer Benutzer zu Ihrer Website unabhängig vom Inhalt der Website zu schützen.,
Mit HTTPS gesendete Daten werden über das Transport Layer Security Protocol (TLS) gesichert, das drei wichtige Schutzschichten bietet:
- —Verschlüsselung-Verschlüsselung der ausgetauschten Daten, um sie vor Lauschern zu schützen. Das heißt, während der Benutzer eine Website durchsucht, kann niemand seine Konversationen „abhören“, seine Aktivitäten auf mehreren Seiten verfolgen oder seine Informationen stehlen.
- Datenintegrität-Daten können während der Übertragung nicht absichtlich oder anderweitig geändert oder beschädigt werden, ohne erkannt zu werden.,
- Authentifizierung-beweist, dass Ihre Benutzer mit der beabsichtigten Website kommunizieren. Es schützt vor Man-in-the-Middle-Angriffen und baut das Vertrauen der Benutzer auf, was sich in anderen geschäftlichen Vorteilen niederschlägt.
Best Practices bei der Implementierung von HTTPS
Verwenden Sie robuste Sicherheitszertifikate
Sie müssen ein Sicherheitszertifikat erhalten, um HTTPS für Ihre Site zu aktivieren. Das Zertifikat wird von einer Zertifizierungsstelle ausgestellt, die Schritte unternimmt, um zu überprüfen, ob Ihre Webadresse tatsächlich zu Ihrer Organisation gehört, und so Ihre Kunden vor Man-in-the-Middle-Angriffen schützt., Stellen Sie beim Einrichten Ihres Zertifikats ein hohes Maß an Sicherheit sicher, indem Sie einen 2048-Bit-Schlüssel auswählen. Wenn Sie bereits ein Zertifikat mit einem schwächeren Schlüssel (1024 Bit) haben, aktualisieren Sie es auf 2048 Bit. Beachten Sie bei der Auswahl Ihres Site-Zertifikats Folgendes:
Verwenden Sie serverseitige 301-Weiterleitungen
Leiten Sie Ihre Benutzer und Suchmaschinen mit serverseitigen 301-HTTP-Weiterleitungen auf die HTTPS-Seite oder Ressource um.
Stellen Sie sicher, dass Ihre HTTPS-Seiten von Google gecrawlt und indiziert werden können
- Blockieren Sie Ihre HTTPS-Seiten nicht durch Roboter.txt-Dateien.,
- Fügen Sie
noindex
– Tags nicht in Ihre HTTPS-Seiten ein. - Verwenden Sie das URL-Inspektionstool, um zu testen, ob Googlebot auf Ihre Seiten zugreifen kann.
Unterstützung von HSTS
Wir empfehlen, dass HTTPS-Sites HSTS (HTTP Strict Transport Security) unterstützen. HSTS weist den Browser an, HTTPS-Seiten automatisch anzufordern, auch wenn der Benutzer http
in die Adressleiste des Browsers eingibt. Es teilt Google auch mit, sichere URLs in den Suchergebnissen bereitzustellen. All dies minimiert das Risiko, Ihren Benutzern ungesicherte Inhalte bereitzustellen.,
Um HSTS zu unterstützen, verwenden Sie einen Webserver, der diese unterstützt, und aktivieren Sie die Funktionalität.
Obwohl es sicherer ist, fügt HSTS Ihrer Rollback-Strategie Komplexität hinzu. Wir empfehlen, HSTS auf diese Weise zu aktivieren:
- Rollen Sie Ihre HTTPS-Seiten zuerst ohne HSTS aus.
- Senden Sie HSTS-Header mit einer kurzen
max-age
. Überwachen Sie Ihren Datenverkehr sowohl von Benutzern als auch von anderen Clients sowie die Leistung von Abhängigen, z. B. Anzeigen. - erhöhen Sie Langsam die HSTS
max-age
., -
Wenn HSTS Ihre Benutzer und Suchmaschinen nicht negativ beeinflusst, können Sie, wenn Sie möchten, Ihre Website bitten, zur HSTS-Vorladeliste hinzugefügt zu werden, die von den meisten gängigen Browsern verwendet wird.
Erwägen Sie die Verwendung von HSTS preloading
Wenn Sie HSTS aktivieren, können Sie optional HSTS Preloading für zusätzliche Sicherheit und verbesserte Leistung unterstützen. Um das Vorladen zu aktivieren, müssen Sie besuchen hstspreload.org und folgen Sie den Einreichungsanforderungen für Ihre Website.,
Vermeiden Sie diese häufigen Fallstricke
Vermeiden Sie während des gesamten Prozesses zur Sicherung Ihrer Website mit TLS die folgenden Fehler:
Ausgabe | Aktion |
---|---|
Abgelaufene Zertifikate | Stellen Sie sicher, dass Ihr Zertifikat immer auf dem neuesten Stand ist. |
Zertifikat registriert bei falschem Websitenamen | Überprüfen Sie, ob Sie ein Zertifikat für alle Hostnamen erhalten haben, die Ihre Site bereitstellt. Zum Beispiel, wenn Ihr Zertifikat nur umfasst www.example.com, ein Besucher, der Ihre Website mit nur Beispiel lädt.,com (ohne die “ www.“prefix) wird durch einen Fehler bei der Nichtübereinstimmung des Zertifikatsnamens blockiert. |
SNI-Unterstützung (Missing Server Name Indication) | Stellen Sie sicher, dass Ihr Webserver SNI unterstützt und dass Ihre Zielgruppe im Allgemeinen unterstützte Browser verwendet. Während SNI von allen modernen Browsern unterstützt wird, benötigen Sie eine dedizierte IP, wenn Sie ältere Browser unterstützen müssen. |
Crawling-Probleme | Blockieren Sie nicht, dass Ihre HTTPS-Site mit robots.txt crawlt. |
Indizierungsprobleme | Erlauben Sie nach Möglichkeit die Indizierung Ihrer Seiten durch Suchmaschinen., Vermeiden Sie die noindex – tag. |
Alte Protokollversionen | Alte Protokollversionen sind anfällig; Stellen Sie sicher, dass Sie über die neuesten und neuesten Versionen von TLS-Bibliotheken verfügen und die neuesten Protokollversionen implementieren. |
Gemischte Sicherheitselemente | Nur HTTPS-Inhalte auf HTTPS-Seiten einbetten. |
Verschiedene Inhalte auf HTTP und HTTPS | Stellen Sie sicher, dass der Inhalt auf Ihrer HTTP-Site und Ihr HTTPS ist das gleiche. |
HTTP-Statuscode Fehler bei HTTPS | Überprüfen Sie, ob Ihre Website den richtigen HTTP-Statuscode zurückgibt., Zum Beispiel 200 OK für zugängliche Seiten oder 404 oder 410 für Seiten, die nicht existieren. |
Weitere Tipps
Weitere Tipps zur Verwendung von HTTPS-Seiten auf Ihrer Website finden Sie in den FAQs zur HTTPS-Migration.
Migration von HTTP nach HTTPS
Wenn Sie Ihre Website von HTTP nach HTTPS migrieren, behandelt Google dies einfach als Site-Umzug mit URL-Änderungen. Dies kann sich vorübergehend auf einige Ihrer Verkehrszahlen auswirken. Weitere Informationen finden Sie auf der Seite Site move overview.,
Fügen Sie die neue HTTPS-Eigenschaft Search Console hinzu: Search Console behandelt HTTP und HTTPS getrennt: Daten werden nicht zwischen Eigenschaften in Search Console geteilt.
Siehe Seite Fehlerbehebung für Sitemap-Schritte zur Fehlerbehebung bei Problemen mit Ihrer Migration.